News , Talk | 18.05.2018

Registro dei trattamenti: un’opportunità prima che un obbligo!


Marketing & Communication
marketing@lcalex.it

Se del registro dei trattamenti la detestata soglia evitar non impetro…Niente panico: è un’opportunità, prima che un obbligo!

Per tutti i GDPR-addicted, “250” è un numero magico: è l’unico parametro oggettivo che possa aiutare a decidere se il registro dei trattamenti è un obbligo, o un’opportunità, e viene spesso e volentieri utilizzato per dare concretezza al concetto di “larga scala”.

Concentrandoci sul registro dei trattamenti, l’art. 30 del GDPR sottolinea, infatti, che gli obblighi di tenuta del registro, imposti a titolari e responsabili del trattamento, «non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10».

Sembrerebbe tutto semplice: se hai 250 dipendenti, devi tenere il registro; se hai meno di 250 dipendenti, hai l’obbligo solo se il trattamento presenta rischi per gli interessati, o se il trattamento non è occasionale, o se il trattamento include dati “sensibili” o dati “giudiziari”.

Evidentemente, così semplice non è: altrimenti, il WP Art. 29 non avrebbe ricevuto tante richieste di chiarimenti da adottare il “position paper” del 19 aprile scorso…

È la lettura combinata dell’art. 30 e del considerando 13, a prestare il fianco a dei dubbi: se, come recita il considerando, «il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni», allora può dirsi che le piccole-medie imprese non hanno mai l’obbligo di tenere il registro dei trattamenti?

No, non è possibile: è l’art. 30 a dare attuazione al considerando, e non il contrario. Il mancato raggiungimento della soglia dei 250 dipendenti apre soltanto la porta: per essere invitati a entrare, non bisogna eseguire trattamenti che pongono rischi per gli interessati, né trattamenti non occasionali, e nemmeno trattamenti che includono dati “sensibili” o dati “giudiziari”.

Avv. Chiara Bocchi

E qui arriva il difficile, perché è chiaro che è sostanzialmente impossibile che un soggetto non esegua alcun trattamento su base non occasionale, o non tratti dati “sensibili” (vorrebbe dire che non ha dipendenti). Ma la semplificazione è dietro l’angolo: è sufficiente adottare un registro per quei trattamenti dai quali deriva il relativo obbligo.

Inutile chiedersi se valga davvero la pena limitare il registro a pochi trattamenti: il WP Art. 29 lo ha sottolineato, ma non ce ne sarebbe nemmeno stato bisogno, che il registro è uno strumento estremamente utile per facilitare la valutazione dei rischi e per identificare le misure adeguate da adottare a tutela degli interessati, e quindi per dare attuazione al principio dell’accountability.


Marketing & Communication
marketing@lcalex.it

Potrebbe interessarti anche

05.12.2024
LCA nell’acquisizione di Fratelli Polli da parte di Platinum Equity

Platinum Equity ha annunciato una partnership con Fratelli Polli S.p.A. per rilevare una quota di maggioranza del Gruppo e accelerarne i ...

02.12.2024
Metrotranvia Milano-Seregno, LCA nell’accordo conciliativo di Novelis con le autor ...

Novelis raggiunge un accordo con il Comune di Bresso e la Città Metropolitana di Milano: approvate le modifiche al progetto della Metrot ...

26.09.2024
LCA con KNAPP AG per il nuovo maxi polo logistico adidas in Italia

Al via il centro logistico di 130.000 metri quadrati, altamente automatizzato e a zero emissioni di CO2, situato a Mantova